Ka wawashe ni idan za ka iya: fasali na gudanar da pentest sociotechnical

Ka yi tunanin wannan yanayin. Cold Oktoba safiyar Oktoba, Cibiyar ƙira a cibiyar yanki na ɗaya daga cikin yankuna na Rasha. Wani daga sashen HR ya je ɗaya daga cikin shafukan da ba kowa ba ne a gidan yanar gizon cibiyar, wanda aka buga kwanaki biyu da suka gabata, kuma ya ga hoton cat a wurin. Safiya da sauri ta daina zama m...

A cikin wannan labarin, Pavel Suprunyuk, shugaban fasaha na sashen bincike da shawarwari a Group-IB, yayi magana game da wurin da ake kaiwa hare-haren zamantakewar al'umma a cikin ayyukan da aka yi la'akari da tsaro mai amfani, irin nau'i na sabon abu da za su iya ɗauka, da kuma yadda za a kare kariya daga irin waɗannan hare-haren. Marubucin ya fayyace cewa labarin yanayin bita ne, duk da haka, idan kowane bangare yana da sha'awar masu karatu, ƙwararrun ƙungiyar-IB za su amsa tambayoyi cikin hanzari a cikin sharhi.

Sashe na 1. Me yasa mai tsanani haka?

Mu koma katsinanmu. Bayan wani lokaci, ma'aikatar HR ta goge hoton (wasu hotunan kariyar kwamfuta a nan da ƙasa an sake sabunta su don kada a bayyana sunaye na ainihi), amma taurin kai ya dawo, an sake share shi, kuma hakan yana faruwa sau da yawa. Ma'aikatar HR ta fahimci cewa cat yana da niyya mafi mahimmanci, ba ya so ya tafi, kuma suna kira ga taimako daga mai shirye-shiryen yanar gizo - mutumin da ya kirkiro shafin kuma ya fahimci shi, kuma yanzu yana gudanar da shi. Ma’aikacin shirin ya je shafin, ya sake goge wannan katon mai ban haushi, ya gano cewa an buga shi ne a madadin sashen HR da kansa, sannan ya yi zaton cewa kalmar sirrin sashen HR ta leka ga wasu ‘yan iskan intanet, kuma ya canza shi. Cat ba ya sake bayyana.

Me ya faru da gaske? Dangane da rukunin kamfanonin da suka haɗa da cibiyar, ƙwararrun Rukunin-IB sun gudanar da gwajin shiga cikin tsari kusa da Red Teaming (a takaice dai, wannan kwaikwayi ne na harin da aka yi niyya akan kamfanin ku ta amfani da ingantattun hanyoyin da kayan aikin daga arsenal na kungiyoyin hacker). Mun yi magana dalla-dalla game da Red Teaming a nan. Yana da mahimmanci a san cewa lokacin gudanar da irin wannan gwajin, ana iya amfani da nau'ikan hare-haren da aka riga aka yarda da su, gami da injiniyan zamantakewa. A bayyane yake cewa sanya cat ɗin kanta ba shine babban burin abin da ke faruwa ba. Kuma akwai kamar haka:

• An gudanar da gidan yanar gizon cibiyar a kan uwar garken da ke cikin cibiyar sadarwar kanta, ba a kan sabobin ɓangare na uku ba;
• An sami yoyo a cikin asusun sashen HR (fayil ɗin log ɗin imel yana tushen rukunin yanar gizon). Ba shi yiwuwa a gudanar da shafin tare da wannan asusun, amma yana yiwuwa a gyara shafukan aiki;
• Ta hanyar canza shafuka, zaku iya sanya rubutunku a cikin JavaScript. Yawancin lokaci suna yin hulɗar shafukan yanar gizo, amma a cikin wannan yanayin, rubutun guda ɗaya na iya sata daga mai binciken mai baƙo wanda ya bambanta sashen HR daga mai tsara shirye-shirye, da kuma mai tsarawa daga mai sauƙi - mai gano zaman a kan shafin. Cat ya kasance mai jawo hari da hoto don jawo hankali. A cikin yaren saɓani na gidan yanar gizon HTML, yayi kama da haka: idan hotonku ya loda, an riga an aiwatar da JavaScript kuma an riga an sace ID ɗin ku, tare da bayanai game da burauzarku da adireshin IP.
• Tare da ID ɗin zaman mai gudanarwa da aka sace, zai yiwu a sami cikakkiyar damar shiga rukunin yanar gizon, shigar da shafukan da za a iya aiwatarwa a cikin PHP, don haka samun damar shiga tsarin aiki na uwar garken, sannan zuwa cibiyar sadarwar gida kanta, wanda shine muhimmin maƙasudin tsaka-tsaki. aikin.

Harin ya yi nasara a wani bangare: an sace ID ɗin zaman mai gudanarwa, amma an ɗaure shi da adireshin IP. Ba za mu iya kaiwa ga wannan ba; ba za mu iya haɓaka gatan rukunin yanar gizon mu ga gatan gudanarwa ba, amma mun inganta yanayin mu. An sami sakamako na ƙarshe a wani sashe na kewayen cibiyar sadarwa.

Sashe na 2. Ina rubuto muku - menene kuma? Ina kuma kira na rataye a cikin ofishin ku, ina sauke filasha.

Abin da ya faru a cikin halin da ake ciki tare da cat misali ne na aikin injiniya na zamantakewa, kodayake ba na gargajiya ba ne. A gaskiya ma, akwai ƙarin abubuwan da suka faru a cikin wannan labarin: akwai wani cat, da kuma cibiya, da ma'aikata, da kuma mai tsara shirye-shirye, amma akwai kuma imel tare da tambayoyi masu haske waɗanda ake zaton "'yan takara" sun rubuta wa sashen ma'aikata kanta da kuma da kansa. zuwa ga masu shirye-shirye don tunzura su zuwa shafin yanar gizon.

Magana na haruffa. Imel na yau da kullun, mai yiwuwa babban abin hawa don aiwatar da aikin injiniya na zamantakewa, bai rasa dacewarsa ba tsawon shekaru biyu kuma wani lokaci yana haifar da mafi ƙarancin sakamako.

Sau da yawa muna ba da labari mai zuwa a al'amuranmu, kamar yadda yake bayyana sosai.

Yawancin lokaci, bisa sakamakon sakamakon ayyukan injiniya na zamantakewa, muna tattara kididdiga, wanda, kamar yadda muka sani, abu ne mai bushe da m. Da yawa bisa dari na masu karɓa sun buɗe abin da aka makala daga wasiƙar, da yawa sun bi hanyar haɗin yanar gizon, amma waɗannan ukun sun shigar da sunan mai amfani da kalmar sirri. A cikin wani aiki, mun sami fiye da 100% na kalmar sirri da aka shigar - wato, sun fi fitowa fiye da yadda muka aika.

Ya faru kamar haka: an aika da wasiƙar phishing, wanda ake zaton daga CISO na wani kamfani na jiha, tare da buƙatar "gaggawa gwada canje-canje a cikin sabis ɗin wasiku." Wasiƙar ta kai ga shugaban wani babban sashe wanda ke magana da tallafin fasaha. Manajan ya kasance mai himma wajen aiwatar da umarni daga manyan hukumomi tare da tura su zuwa ga duk wanda ke karkashinsa. Cibiyar kiran kanta ta juya ta zama babba. Gabaɗaya, yanayin da wani ya tura wa abokan aikin sa saƙon saƙon “mai ban sha'awa” kuma aka kama su wani lamari ne da ya zama ruwan dare gama gari. A gare mu, wannan shine mafi kyawun ra'ayi akan ingancin rubuta wasiƙa.

Bayan ɗan lokaci kaɗan suka gano game da mu (an ɗauki wasiƙar a cikin akwatin wasiku da aka yi sulhu):

Nasarar harin ya kasance saboda gaskiyar cewa aika aika ta yi amfani da ƙarancin fasaha a cikin tsarin wasiƙar abokin ciniki. An tsara ta ta yadda za a iya aika kowane wasiƙa a madadin kowane mai aikawa da ƙungiyar da kanta ba tare da izini ba, ko da daga Intanet. Wato, kuna iya yin kamar CISO, ko shugaban tallafin fasaha, ko wani. Bugu da ƙari, ƙirar wasiƙa, lura da haruffa daga yankin "sa", a hankali an saka hoto daga littafin adireshi, wanda ya ƙara dabi'a ga mai aikawa.

A gaskiya, irin wannan harin ba fasaha ce mai sarƙaƙƙiya ba; yana da nasara cin nasara na babban kuskure a saitunan wasiku. Ana yin nazari akai-akai akan ƙwararrun IT da albarkatun tsaro na bayanai, amma duk da haka, har yanzu akwai kamfanoni waɗanda ke da wannan duka. Tun da babu wanda ke son bincikar kanun sabis na ka'idar saƙon SMTP, yawanci ana bincika wasiƙar don “haɗari” ta amfani da gumakan faɗakarwa a cikin saƙon saƙo, waɗanda ba koyaushe suke nuna cikakken hoto ba.

Abin sha'awa, irin wannan lahani kuma yana aiki ta wata hanya: mai hari zai iya aika saƙon imel a madadin kamfanin ku ga mai karɓa na ɓangare na uku. Misali, yana iya karya daftari don biyan kuɗi akai-akai a madadin ku, yana nuna wasu bayanai maimakon naku. Baya ga batun hana zamba da kuma fitar da tsabar kudi, wannan tabbas yana ɗaya daga cikin mafi sauƙi hanyoyin satar kuɗi ta hanyar injiniyan zamantakewa.

Baya ga satar kalmomin shiga ta hanyar leƙen asiri, babban harin fasahar zamantakewa yana aika haɗe-haɗe masu iya aiwatarwa. Idan waɗannan saka hannun jari sun shawo kan duk matakan tsaro, waɗanda kamfanoni na zamani galibi suna da yawa, za a ƙirƙiri tashar shiga nesa zuwa kwamfutar wanda aka azabtar. Don nuna sakamakon harin, za a iya samar da na'ura mai sarrafa nesa har zuwa samun damar samun mahimman bayanai na sirri. Abin lura shi ne cewa mafi yawan hare-haren da kafofin watsa labaru ke amfani da su don tsoratar da kowa suna farawa kamar haka.

A cikin sashen binciken mu, don jin daɗi, muna ƙididdige ƙididdiga na ƙididdiga: menene jimillar ƙimar kadarorin kamfanoni waɗanda muka sami damar shiga Gudanar da Domain zuwa gare su, musamman ta hanyar phishing da aika abubuwan da za a iya aiwatarwa? A bana ya kai kusan Yuro biliyan 150.

A bayyane yake cewa aika saƙon imel masu tayar da hankali da buga hotuna na kyanwa a kan gidajen yanar gizon ba kawai hanyoyin injiniyan zamantakewa ba ne. A cikin waɗannan misalan mun yi ƙoƙarin nuna nau'ikan nau'ikan harin da sakamakonsu. Baya ga haruffa, mai yuwuwar maharin na iya yin kira don samun mahimman bayanai, watsar da kafofin watsa labarai (misali, filasha filasha) tare da fayilolin aiwatarwa a cikin ofishin kamfanin da aka yi niyya, samun aiki azaman ɗalibi, samun damar shiga cikin hanyar sadarwar gida. karkashin sunan mai saka kyamarar CCTV. Duk waɗannan, ta hanya, misalai ne daga ayyukan da muka kammala cikin nasara.

Sashe na 3. Koyarwa haske ne, amma marar ilimi duhu ne

Tambaya mai ma'ana ta taso: da kyau, lafiya, akwai injiniyan zamantakewa, yana kama da haɗari, amma menene yakamata kamfanoni suyi game da wannan duka? Kyaftin bayyane ya zo wurin ceto: kuna buƙatar kare kanku, kuma a cikin cikakkiyar hanya. Wasu bangare na kariyar za a yi nufin riga classic tsaro matakan, kamar fasaha hanyoyin da bayanai kariya, saka idanu, kungiya da kuma doka goyon bayan tafiyar matakai, amma babban bangaren, a cikin ra'ayi, ya kamata a directed aiki tare da ma'aikata kamar yadda mafi raunin mahada. Bayan haka, duk yadda kuka ƙarfafa fasaha ko rubuta ƙa'idodi masu tsauri, koyaushe za a sami mai amfani wanda zai gano sabuwar hanyar karya komai. Bugu da ƙari, babu ƙa'idodi ko fasaha ba za su ci gaba da tafiyar da kerawa na mai amfani ba, musamman idan ƙwararren maharin ne ya sa shi.

Da farko, yana da mahimmanci don horar da mai amfani: bayyana cewa ko da a cikin aikinsa na yau da kullum, yanayin da ya shafi aikin injiniya na zamantakewa na iya tasowa. Ga abokan cinikinmu sau da yawa muna gudanar da su darussa a kan tsaftar dijital - taron da ke koyar da basirar asali don magance hare-hare gabaɗaya.

Zan iya ƙara cewa ɗayan mafi kyawun matakan kariya ba zai zama haddace ka'idojin tsaro ba kwata-kwata, amma don tantance halin da ake ciki a ɗan ware:

1. Wanene abokin hulɗa na?
2. Daga ina shawararsa ko bukatarsa ​​ta fito (wannan bai taba faruwa a baya ba, kuma yanzu ya bayyana)?
3. Menene sabon abu game da wannan buƙatar?

Hatta nau'in haruffan haruffa da ba a saba gani ba ko salon magana da ba a saba gani ba ga mai aikawa na iya sanya jerin shakku da zai dakatar da kai hari. Ana kuma buƙatar ƙayyadaddun umarnin, amma suna aiki daban kuma ba za su iya tantance duk yanayi mai yiwuwa ba. Misali, masu kula da tsaro na bayanai sun rubuta a cikinsu cewa ba za ku iya shigar da kalmar sirrinku akan albarkatun ɓangare na uku ba. Idan "naku", "kamfanin" albarkatun cibiyar sadarwa ya nemi kalmar sirri fa? Mai amfani yana tunani: "Kamfaninmu ya riga yana da sabis na dozin biyu tare da asusu ɗaya, me yasa ba za ku sami wani ba?" Wannan yana haifar da wata ka'ida: tsarin aikin da aka tsara shi ma yana shafar tsaro kai tsaye: idan maƙwabcin maƙwabta zai iya neman bayanai daga gare ku kawai a rubuce kuma ta hanyar mai sarrafa ku kawai, mutum "daga amintaccen abokin tarayya na kamfanin" ba zai kasance ba. iya nema ta waya - wannan a gare ku zai zama shirme. Ya kamata ku yi taka-tsan-tsan idan mai shigar da ku ya bukaci yin komai a yanzu, ko “ASAP”, kamar yadda ya dace a rubuta. Ko da a cikin aikin al'ada, wannan yanayin sau da yawa ba shi da lafiya, kuma a cikin fuskantar yiwuwar hare-haren, yana da karfi mai karfi. Babu lokacin bayani, gudanar da fayil na!

Mun lura cewa masu amfani koyaushe ana niyya a matsayin tatsuniyoyi don harin fasaha na zamantakewa ta batutuwan da suka shafi kuɗi a cikin nau'i ɗaya ko wani: alkawuran haɓakawa, abubuwan da ake so, kyaututtuka, gami da bayanai tare da tsegumi na gida da ruɗi. A wasu kalmomi, banal "zunubai masu mutuwa" suna aiki: ƙishirwa don riba, kwadayi da kuma son sani mai yawa.

Kyakkyawan horo ya kamata koyaushe ya haɗa da aiki. Anan ne kwararrun gwajin kutse zasu iya zuwa don ceto. Tambaya ta gaba ita ce: menene kuma ta yaya za mu gwada? Mu a Rukunin-IB muna ba da shawarar hanyar da za ta biyo baya: nan da nan zaɓi abin da aka fi mayar da hankali kan gwaji: ko dai tantance shirye-shiryen harin masu amfani da kansu kawai, ko kuma bincika amincin kamfanin gaba ɗaya. Kuma gwada ta amfani da hanyoyin injiniyan zamantakewa, yin kwaikwayon hare-hare na gaske - wato, phishing iri ɗaya, aika takaddun aiwatarwa, kira da sauran dabaru.

A cikin akwati na farko, an shirya harin a hankali tare da wakilan abokin ciniki, galibi tare da ƙwararrun IT da ƙwararrun tsaro na bayanai. Tatsuniyoyi, kayan aiki da dabarun kai hari sun daidaita. Abokin ciniki da kansa yana ba da ƙungiyoyin mayar da hankali da jerin sunayen masu amfani don kai hari, waɗanda suka haɗa da duk lambobi masu mahimmanci. An ƙirƙira keɓancewa akan matakan tsaro, tunda saƙonni da nauyin aiwatarwa dole ne su isa ga mai karɓa, saboda a cikin irin wannan aikin kawai halayen mutane suna da sha'awa. Da zaɓin, zaku iya haɗa alamomi a cikin harin, wanda mai amfani zai iya tunanin cewa wannan hari ne - alal misali, kuna iya yin kurakuran rubutu guda biyu a cikin saƙonni ko barin kuskure wajen kwafin salon kamfani. A ƙarshen aikin, ana samun "ƙididdigar busassun" iri ɗaya: waɗanda ƙungiyoyin mayar da hankali suka amsa ga al'amuran kuma har zuwa wane matsayi.

A cikin akwati na biyu, an kai harin tare da ilimin farko na sifili, ta amfani da hanyar "akwatin baki". Muna tattara bayanai da kansu game da kamfani, ma'aikatansa, kewayen hanyar sadarwa, ƙirƙirar tatsuniyoyi na kai hari, zaɓi hanyoyin, nemo yuwuwar matakan tsaro da aka yi amfani da su a cikin kamfanin da aka yi niyya, daidaita kayan aiki, da ƙirƙirar yanayi. Kwararrun mu suna amfani da hanyoyin bayanan sirri na tushen buɗe ido (OSINT) da samfuran Group-IB na kansa - Barazana Intelligence, tsarin da, lokacin da ake shirya wa phishing, zai iya aiki azaman mai tara bayanai game da kamfani na dogon lokaci, gami da keɓaɓɓun bayanai. Tabbas, don kada harin ya zama abin mamaki mara kyau, an kuma yarda da cikakkun bayanansa tare da abokin ciniki. Ya zama cikakken gwajin shigar ciki, amma zai dogara ne akan injiniyan zamantakewa na ci gaba. Zaɓin ma'ana a cikin wannan yanayin shine haɓaka hari a cikin hanyar sadarwa, har zuwa samun mafi girman haƙƙoƙi a cikin tsarin ciki. Af, ta irin wannan hanya muna amfani da hare-haren sociotechnical a ciki Jan Haɗin kai, da kuma a wasu gwaje-gwajen shiga. A sakamakon haka, abokin ciniki zai sami cikakken hangen nesa mai zaman kansa game da tsaron su a kan wani nau'in hare-haren zamantakewa, da kuma nuna tasiri (ko, akasin haka, rashin tasiri) na ginannen layin tsaro daga barazanar waje.

Muna ba da shawarar gudanar da wannan horo aƙalla sau biyu a shekara. Da fari dai, a cikin kowane kamfani akwai jujjuyawar ma'aikata kuma a hankali ma'aikata sun manta da gogewar da ta gabata. Na biyu, hanyoyin da dabarun hare-hare suna canzawa koyaushe kuma hakan yana haifar da buƙatar daidaita matakan tsaro da kayan aikin kariya.

Idan muka yi magana game da matakan fasaha don karewa daga hare-hare, masu zuwa suna taimakawa sosai:

• Kasancewar tabbataccen abu biyu na wajibi akan ayyukan da aka buga akan Intanet. Don sakin irin waɗannan ayyukan a cikin 2019 ba tare da tsarin sa hannu guda ɗaya ba, ba tare da kariya daga ƙarfin kalmar sirri ba kuma ba tare da ingantattun abubuwa biyu ba a cikin kamfani na mutane ɗari da yawa daidai yake da buɗaɗɗen kira don "karye ni." Kariyar da aka aiwatar da ita za ta sa yin amfani da kalmomin sirri da aka sata cikin gaggawa ba zai yiwu ba kuma zai ba da lokaci don kawar da sakamakon harin da aka yi wa satar bayanan sirri.
• Sarrafa ikon samun dama, rage haƙƙin mai amfani a cikin tsarin, da bin ƙa'idodi don amintaccen tsarin samfur wanda kowane babban masana'anta ke fitarwa. Wadannan sau da yawa suna da sauƙi a cikin yanayi, amma suna da tasiri sosai kuma suna da wuyar aiwatar da matakan, wanda kowa, zuwa mataki ɗaya ko wani, ya yi watsi da shi don gudun gudu. Kuma wasu suna da matukar muhimmanci ta yadda in ba su ba wata hanyar kariya da za ta tsira.
• Ingantacciyar layin tace imel. Antispam, jimlar duba abubuwan da aka makala don lambar ɓarna, gami da gwaji mai ƙarfi ta cikin akwatunan yashi. Harin da aka shirya da kyau yana nufin cewa kayan aikin riga-kafi ba za a gano abin da aka makala ba. Sandbox, akasin haka, zai gwada komai don kansa, ta amfani da fayiloli kamar yadda mutum yayi amfani da su. Sakamakon haka, za a bayyana wani abu mai yuwuwar ɓarna ta canje-canjen da aka yi a cikin akwatin yashi.
• Hanyoyin kariya daga hare-haren da ake kaiwa hari. Kamar yadda aka riga aka ambata, kayan aikin riga-kafi na yau da kullun ba za su gano fayilolin ƙeta ba a yayin harin da aka shirya sosai. Ya kamata samfuran da suka fi ci gaba ta atomatik saka idanu kan jimillar abubuwan da ke faruwa akan hanyar sadarwa - duka a matakin mai masaukin baki da kuma matakin zirga-zirga a cikin hanyar sadarwa. A cikin yanayin hare-hare, ainihin sarƙoƙi na abubuwan da suka faru suna bayyana waɗanda za a iya bin diddigin su kuma a dakatar da su idan kun sanya ido kan abubuwan da suka faru irin wannan.

Labarin asali buga a cikin mujallar "Tsaron Bayani/ Tsaron Bayani" #6, 2019.

source: www.habr.com